English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
乌龙!网络间谍组织因感染自家恶意软件而暴露
文章来源:奥航智讯  作者:SCA  发布时间:2022-01-13  浏览次数:791

日前,一个与印度有关的网络间谍组织被自家的远程访问特洛伊木马( RAT )感染上后,意外地将行动暴露给了安全研究人员。据了解,自2015年12月以来,这伙威胁分子就一直很活跃,因使用复制粘贴代码而被称为 PatchWork 。


在 PatchWork 最近的一次活动中(2021年11月底至12月初), 安全厂商 Malwarebytes Labs 发现这伙威胁分子使用恶意的 RTF 文件冒充巴基斯坦当局,用 BADNEWS RAT 的新变种(名为 Ragnatela )感染目标。Ragnatela RAT 使威胁分子可以执行命令、获取屏幕快照、记录击键内容、搜集敏感文件和一长串运行中的应用程序、部署额外的有效载荷以及上传文件等。


Malwarebytes Labs 威胁情报团队解释道:“出人意料的是,我们之所以能收集到所有信息,归因于这伙威胁分子被其自己的 RAT 病毒感染,因而能获取他们的计算机和虚拟机上的击键内容和屏幕截图。”研究人员获得这一发现后,使用 VirtualBox 和 VMware 用于测试和 Web 开发,在拥有双键盘布局(即英文和印度文)的计算机上进行测试,同时监控该团伙的一举一动。



PatchWork测试Ragnatela RAT

来源:Malwarebytes Labs


研究人员在观察对方行动的同时,还获得了该组织攻击的目标信息,这些目标包括巴基斯坦国防部以及多所大学,比如伊斯兰堡国防大学、 UVAS 大学生物科学院、卡拉奇 HEJ 研究所和 SHU 大学的教职员工信息。Malwarebytes Labs 补充道:“通过威胁分子恶意软件获取的数据,我们能够更清楚地了解谁在键盘后面搞破坏。”


据了解, PatchWork 团伙曾于 2018 年 3 月在多起鱼叉式网络钓鱼活动中攻击了美国多个智库,采用了同样的手法,即推送恶意 RTF 文件来渗入受害者系统,并推送 QuasarRAT 恶意软件的变种。在 2018 年1 月,有机构监测到他们通过投放 BADNEWS 恶意软件,对南亚地区的目标发动攻击。他们还在 2016 年 5 月底对一家欧洲政府组织的雇员发动了一起鱼叉式网络钓鱼活动。(文章来源:安全牛)



 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司